Używanie tożsamości zarządzanych dla platformy Azure z wystąpieniem zarządzanym SCOM usługi Azure Monitor
Typowym wyzwaniem podczas tworzenia aplikacji w chmurze jest sposób bezpiecznego zarządzania poświadczeniami w kodzie na potrzeby uwierzytelniania różnych usług bez zapisywania ich lokalnie na stacji roboczej dewelopera lub kontroli źródła.
Tożsamości zarządzane dla platformy Azure rozwiążą ten problem dla wszystkich zasobów w usłudze Azure Active Directory, zapewniając im automatyczne tożsamości zarządzane. Tożsamość usługi służy do uwierzytelniania dowolnej usługi obsługującej uwierzytelnianie usługi Azure Active Directory, w tym magazynu kluczy, bez sortowania poświadczeń w kodzie.
Uwaga
- Tożsamości zarządzane dla platformy Azure to nowa nazwa usługi znanej wcześniej jako tożsamość usługi zarządzanej (MSI).
- Tożsamości zarządzane dla zasobów platformy Azure są bezpłatne w usłudze Azure Active Directory dla subskrypcji platformy Azure. Nie ma dodatkowych kosztów.
Pojęcia
Tożsamości zarządzane dla platformy Azure są oparte na kilku kluczowych pojęciach:
Identyfikator klienta — unikatowy identyfikator generowany przez usługę Azure Active Directory, który jest powiązany z aplikacją i jednostką usługi podczas początkowej aprowizacji. Aby uzyskać więcej informacji, zobacz Identyfikator aplikacji (klienta).
Identyfikator podmiotu zabezpieczeń — identyfikator obiektu jednostki usługi dla tożsamości zarządzanej używanej do udzielania dostępu opartego na rolach do zasobu platformy Azure.
Jednostka usługi — obiekt usługi Azure Active Directory, który reprezentuje projekcję aplikacji usługi Azure Active Directory w danej dzierżawie. Aby uzyskać więcej informacji, zobacz Jednostka usługi.
Typy tożsamości zarządzanych
Istnieją dwa typy tożsamości zarządzanych:
Tożsamość zarządzana przypisana przez system: włączona bezpośrednio w wystąpieniu usługi platformy Azure. Cykl życia tożsamości przypisanej przez system jest unikatowy dla wystąpienia usługi platformy Azure włączonego.
Tożsamość zarządzana przypisana przez użytkownika: utworzona jako autonomiczny zasób platformy Azure. Tożsamość można przypisać do co najmniej jednego wystąpienia usługi platformy Azure i zarządzać oddzielnie od cykli życia tych wystąpień.
Aby uzyskać więcej informacji na temat typów tożsamości zarządzanych, zobacz Jak działają tożsamości zarządzane dla zasobów platformy Azure?
Obsługiwane scenariusze dla wystąpienia zarządzanego programu SCOM
Wystąpienie zarządzane SCOM obsługuje tożsamość zarządzaną przypisaną przez system i tożsamość zarządzaną przypisaną przez użytkownika dla wystąpień zarządzanych programu SCOM wdrożonych na platformie Azure. Wystąpienie zarządzane SCOM tworzy inne zasoby zależności, takie jak klaster Virtual Machine Scale Sets (VMSS) do hostowania serwerów zarządzania. Wystąpienie zarządzane SCOM dołączyło tożsamości zarządzane z hobo w wersji 2, aby przypisana tożsamość została delegowana do podstawowej infrastruktury na potrzeby uwierzytelniania przy użyciu zasobów ujścia. Te tożsamości są używane do uwierzytelniania innych usług platformy Azure w różnych scenariuszach.
Tożsamość zarządzana przypisana przez system
- Wystąpienie zarządzane SCOM wyśle różne metryki kondycji lub wydajności do usług klastra Genewa, monitorując zachowanie wystąpienia w czasie wykonywania. Tożsamość przypisana przez system, która jest delegowana do zasobu wystąpienia zarządzanego SCOM, będzie używana do uwierzytelniania w usługach klastra Azure Geneva.
Tożsamość zarządzana przypisana przez użytkownika
W przypadku wystąpienia zarządzanego programu SCOM tożsamość zarządzana zastąpi tradycyjne cztery konta usług programu System Center Operations Manager i będzie używana do uzyskiwania dostępu do bazy danych SQL Managed Instance. Wystąpienie zarządzane SCOM odczytuje/zapisuje dane monitorowania obciążenia klienta do baz danych wystąpienia zarządzanego SQL. Tożsamość przypisana przez użytkownika przypisana do zasobu wystąpienia zarządzanego programu SCOM będzie używana do uwierzytelniania z serwerów programu System Center Operations Manager do wystąpienia zarządzanego SQL.
Proces dołączania wystąpienia zarządzanego programu SCOM przyjmuje poświadczenia użytkownika domeny przechowywane w magazynie kluczy klienta. Dostęp do wpisów tajnych w magazynie kluczy klienta uzyskuje się przy użyciu tożsamości zarządzanej przypisanej do wystąpienia zarządzanego programu SCOM.
Podczas dołączania wystąpienia zarządzanego programu SCOM należy podać tożsamość zarządzaną użytkownika, która ma dostęp do magazynu kluczy klienta i SQL Managed Instance.
Tworzenie tożsamości usługi zarządzanej (MSI)
Utwórz tożsamość usługi zarządzanej i podaj jej odpowiedni poziom dostępu w zasobie platformy Azure.
Tworzenie magazynu kluczy i dodawanie poświadczeń jako wpisu tajnego w magazynie kluczy
Zapisz konto domeny utworzone w usłudze Active Directory na koncie magazynu kluczy na potrzeby zabezpieczeń. Azure Key Vault to usługa w chmurze, która zapewnia bezpieczny magazyn kluczy, wpisów tajnych i certyfikatów. Aby uzyskać więcej informacji, zobacz Azure Key Vault.
- Utwórz magazyn kluczy.
- Utwórz wpis tajny dla konta domeny.
- Przypisz rolę Czytelnik w tym magazynie kluczy do tożsamości usługi zarządzanej (MSI). Aby uzyskać więcej informacji, zobacz Przypisywanie zasad dostępu magazynu kluczy.
Ustaw wartość Administracja usługi Active Directory w SQL Managed Instance
Ustaw wartość Administracja usługi Active Directory w SQL Managed Instance.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla